Levée des mesures COVID-19: Les conséquences en protection des données et droit du travail
David Raedler, Avocat, docteur en droit
Spécialisé en droit du travail et en protection des données, il s’intéresse tout particulièrement à la thématique des nouvelles technologies appliquées aux rapports de travail. Après l’obtention de son brevet d’avocat, il s’est consacré à la rédaction d’une thèse de doctorat à l’Université de Lausanne sur les enquêtes internes. Il est également Vice-président du Tribunal de prud’hommes de la Broye et du Nord vaudois.
Aides de travail Droit du travail
Le 30 mars 2022, le Conseil fédéral a décidé de ne pas prolonger l’Ordonnance sur les mesures destinées à lutter contre l’épidémie de COVID-19 en situation particulière (Ordonnance COVID-19 situation particulière). Cela a pour conséquence qu’au 1er avril 2022, toutes les mesures nationales de lutte contre l’épidémie de COVID-19 qui se fondaient sur la « situation particulière » de l’art. 6 de la Loi sur les épidémies (LEp) seront abrogées. La situation particulière est elle-même remplacée par une « phase de transition » valant jusqu’au printemps 2023, au cours de laquelle une vigilance et une capacité de réaction accrues demeurent nécessaires. Dans ce contexte, les cantons restent eux-mêmes toujours compétents de décider de mesures spécifiques de lutte contre la COVID-19, selon l’évolution de la pandémie.
En outre, plusieurs des dispositions de l’Ordonnance 3 COVID-19 – qui reste pour l’essentiel en vigueur après le 31 mars 2022, tout comme la Loi COVID-19 – étaient prévues pour être abrogées au 31 mars 2022, dont l’art. 27a relatif aux employés vulnérables. Avec, là aussi, des conséquences importantes pour les employeurs.
Avec ces changements, il est temps de faire un rapide point sur les mesures qui doivent être prises par les entreprises et employeurs, sous l’angle des exigences en matière de protection des données et en droit du travail.
Première étape : revoir les mesures en vigueur
L’évolution de la situation épidémiologique et juridique implique de revoir en profondeur les mesures de précaution et de protection qui ont été prises par les entreprises, notamment les contrôles de température à l’entrée des locaux, les tests, les quarantaines et le télétravail.
Pour rappel, ces mesures impliquent un traitement de données personnelles, qui doit être conforme à la Loi fédérale sur la protection des données (LPD) et, cas échéant, au Règlement général sur la protection des données (RGPD). Le traitement doit en particulier être conforme aux principes de finalité et de proportionnalité. Cela signifie que le traitement doit poursuivre une finalité préalablement définie et que seules les données aptes et nécessaires à atteindre ce but peuvent être traitées. En parallèle, ces mêmes mesures doivent tenir compte des obligations de l’employeur sous l’angle de la protection de la santé et de la personnalité de ses employés, conformément aux art. 328 du Code des obligations (CO) et 6 de la Loi sur le travail (LTr). Elles doivent également respecter le cadre légal spécifique à la COVID-19 qui reste applicable, dont la Loi COVID-19 et les dispositions de l’Ordonnance 3 COVID-19.
En conséquence, il convient de procéder comme suit dans la revue des mesures qui seraient encore en vigueur :
- le port du masque n’est plus obligatoire, mais peut être imposé par l’employeur dans certains cas spécifiques, notamment pour les employés qui auraient des symptômes liés à la COVID-19 ou auraient été testés positifs ;
- l’isolement des personnes testées positives à la COVID-19 n’est plus impérative sous l’angle des règles spéciales, mais demeure possiblement une incapacité de travail, en tout cas selon les symptômes ;
- les exigences en matière d’hygiène, en particulier pour la mise à disposition de savon et de désinfectant, devraient demeurer en vigueur ;
- les contrôles de température à l’entrée de locaux ne peuvent plus, par principe, se justifier ;
- la réalisation de tests et d’autotests ne peut plus être imposée aux employés, sauf symptômes ou situations spécifiques – à ce titre, il convient de rappeler que le Conseil fédéral maintient la prise en charge des frais de test pour les personnes symptomatiques.
S’agissant spécifiquement des employés vulnérables, il est essentiel de souligner que l’art. 27a de l’Ordonnance 3 COVID-19 est abrogé avec effet au 31 mars 2022, en même temps que les dispositions relatives aux APG. En conséquence, la nature par principe impérative du télétravail (al. 1) ainsi que la possibilité pour l’employeur de donner d’autres tâches à l’employé (al. 2) ne s’imposent plus à l’employeur. Ce dernier demeure toutefois toujours requis de prendre les mesures nécessaires pour protéger les personnes qui étaient, jusqu’à présent, qualifiées de vulnérables, selon les principes plus généraux des art. 328 CO et 6 LTr. Ceci englobe à notre sens la nécessité de s’assurer que les moyens de protection adéquats soient fournis pour l’exécution du travail, lorsqu’une distance suffisante entre employés ne peut être garantie.
Enfin, il demeure fortement conseillé de disposer d’un règlement sur la lutte contre les épidémies, dans lequel les différentes mesures sont précisées et les moyens mis en œuvre pour y répondre.
Recommandations de séminaires
Deuxième étape : supprimer les données
Outre les mesures précitées, toute autre mesure ne sera par principe plus justifiée et doit être interrompue immédiatement. La conservation des données liées à des mesures antérieures ne se justifie pas non plus. Il est donc impératif de passer en revue les mesures qui ont été prises, déterminer toutes les données personnelles qui ont été collectées ou générées et s’assurer de leur suppression définitive. Des informations anonymes, notamment statistiques, peuvent continuer à être traitées par exemple pour analyser la gestion de la pandémie.
Les données personnelles qui ont été collectées dans le cadre des mesures destinées à la prévention de nouvelles infections ne doivent pas non plus être conservées. L’employeur doit s’assurer de leur destruction. Ceci vaudra notamment pour les éventuelles listes d’employés conservées par l’employeur en fonction de leur statut vaccinal qui ne se justifieront plus, y compris lorsqu’elles se fondent sur l’information volontairement communiquée par les employés. Alternativement à une suppression complète, l’employeur pourrait préférer leur anonymisation, par exemple à des fins d’amélioration de ses processus internes.
Toute règle a ses exceptions, et ce sera le cas notamment pour les employés travaillant dans le milieu hospitalier ou les personnes devant voyager de manière professionnelle. Dans ces cas, la conservation d’une information liée à la vaccination reste envisageable, avec des mesures techniques et organisationnelles suffisantes pour éviter tout accès ou utilisation indue.
Par ailleurs, selon l’évolution de la maladie, des mesures pourraient à nouveau être nécessaires dans les mois ou années qui viennent, en particulier dans la « phase de transition » actuelle. Il faudra donc à nouveau examiner en fonction de la situation du moment quelles mesures peuvent être justifiées. En aucun cas, les mesures prises les deux dernières années ne devront être reproduites sans vérifier leur pertinence au vu de la situation du moment.
Troisième étape : revoir les outils informatiques déployés en urgence
De nombreux outils informatiques ont été déployés très rapidement il y a deux ans et le télétravail a pris une place importante. La situation urgente et temporaire est passée depuis longtemps. Si cela n’a pas encore été fait, il faut absolument revoir dans le détail ce qui a été mis en place et régulariser les accès à distance et la configuration des systèmes informatiques pour assurer leur sécurité (la double authentification n’a souvent pas été mise en place de manière systématique), les licences pour les logiciels utilisés (certains fournisseurs avaient mis à disposition des versions gratuites ou toléré temporairement un usage professionnel de licences privées), voire les fournisseurs utilisés (la situation exceptionnelle a pu justifier l’absence d’étude d’impact ou le recours à des fournisseurs n’offrant pas toutes les garanties nécessaires).
La poursuite du télétravail et ses modalités doivent également être prises en compte et formalisées dans le contrat de travail. Ceci impliquera notamment de régler dans le détail la question des frais applicables, de même que les obligations d’enregistrement des heures. En outre, il est impératif de s’assurer que les dispositions liées à la protection de la santé des employés ont bien été mises en place, en particulier s’agissant de l’affirmation de l’interdiction du travail de nuit et du dimanche. Cas échéant, des mesures techniques doivent être prises pour éviter un tel travail (p.ex. par la déconnexion impérative). S’agissant spécifiquement des employés frontaliers, il conviendra également de revenir au régime ordinaire en principe dès le 30 juin prochain, soit la date de fin du régime spécial relatif aux assurances sociales et droit fiscal. Un régime ordinaire tendant à leur interdire le télétravail.
Dans tous les cas, les obligations d’information des travailleurs doivent bien être respectées et il est conseillé de revoir la documentation et l’information qui ont été communiquées durant la pandémie.
